Priemyselné podniky však zatiaľ kybernetické hrozby neberú vážne. Investície do kybernetickej ochrany nie sú dostatočne vysoko na rebríčku ich priorít, absentuje strategická príprava zo strany manažmentu, výrobné prostredie zaznamenáva výrazný deficit kvalifikovaných špecialistov pre informačné technológie a kybernetickú bezpečnosť. Skonštatovali to IT špecialisti a odborníci z praxe, akademickej obce a Ministerstva hospodárstva SR na januárovom stretnutí Združenia inteligentného priemyslu – Industry4UM.

Napriek skutočnosti, že počet kybernetických útokov na priemyselné podniky neustále narastá, veľká časť firiem žije v dogme „nám sa to nemôže stať“. Chýba im povedomie o kybernetickej bezpečnosti vo výrobnom prostredí, podceňujú riziká a strategická príprava zo strany vedenia firiem je nedostatočná. „Kým aplikácia bezpečnostných opatrení v oblasti informačných technológií je už roky bežnou praxou, v oblasti výroby nie sú takéto opatrenia ešte samozrejmé. Pre výrobných pracovníkoch je to zatiaľ tabula rasa a je to často to posledné, čo ich trápi. Vo svete Priemyslu 4.0 sú však výroba a ostatné časti podniku prepojené a pripojené na internet a tak sa výroba stáva terčom útokov,“ približuje situáciu veľkej časti slovenských podnikov Peter Prónay, externý spolupracovník SOVA Digital.

Digitalizácia výrobných zariadení vytvára zvýšené bezpečnostné riziká pre podnikové systémy a generované dáta a stavia podniky pred nové výzvy. Situácia je dnes, hlavne v menších a stredných podnikoch podľa Davida Dvořáka z Pelikan services alarmujúca: „Vo firmách sa stretávame s dogmami a predsudkami a najčastejším je: Prečo by sa to malo týkať práve nás? Pre viac ako 80 % podnikov bezpečnosť výrobných systémov dokonca nie je ani témou. Je to alarmujúce, pretože takýchto útokov bude čoraz viac.“ Firmy sa opatreniam začínajú venovať, až keď prídu následky útoku. Na to, aby firmy úspešne zvládli prechod na Priemysel 4.0, musia už do prvotného systémového návrhu zahrnúť aj príslušné bezpečnostné aspekty.

Veľké množstvo podnikov funguje na zastaraných, ľahko ohroziteľných sieťových architektúrach. Mnohé výrobné systémy sú priamo pripojené na internet, často len z pohodlnosti či nevedomosti. Problémom sú aj nedostatočne zabezpečené sieťové rozhrania určené na prístup servisných špecialistov, dodávateľov zariadení. Z dôvodu obavy o nekompatibilitu a prípadné komplikácie podniky upúšťajú od aktualizácií softvéru. Veľké riziká prinášajú dodávatelia. „My musíme mať zabezpečené nielen vlastné procesy, ale musíme zaistiť bezpečnosť aj za svojich dodávateľov. Zákazníka nezaujíma, že my máme v dodávateľskom reťazci garážové firmy, ktoré bezpečnosť vôbec neriešia,“ informuje Igor Šuba, CIO a Data Protection Officer Matador Group.

Diskusná skupina sa zhodla na tom, že najkritickejším faktorom vo výrobnom procese z pohľadu kybernetickej bezpečnosti je človek. Preto je podľa expertov potrebné sústrediť sa na vzdelávanie zamestnancov na všetkých úrovniach fungovania podniku a zabezpečiť, aby vnímal šíriace sa riziká nielen v oblasti svojho pôsobenia. Začať vzdelávať o tejto problematike musíme už deti na základných školách a na ďalších úrovniach vzdelávacieho systému. „Expertov na škole máme dostatok, dokonca na svetovej úrovni. No pre prax ich je stále málo, odchádzajú do inštitúcií a veľkých firiem. Dnes prax potrebuje ‚interdisciplinárnych ľudí‘, takých, ktorí rozumejú informačným technológiám i priemyselnej výrobe,“ konštatuje František Duchoň, profesor na FEI STU v Bratislave a predseda Národného centra robotiky.

Nedostatočné bezpečnostné stratégie majú hlavne malé a stredné firmy, ktoré nie sú pripravené na úspešné zvládnutie útokov na svoje informačné a operačné systémy. Tomáš Zaťko zo spoločnosti Citadelo a zástupca Asociácie kybernetickej bezpečnosti odporúča: „Firmy by si mali vytvoriť plán nápravných opatrení a implementovať ich. Kybernetická bezpečnosť je súborom organizačných a technologických opatrení a tie musia byt vzájomne harmonizované.“

Kybernetická bezpečnosť je nikdy sa nekončiaci proces a firmy by sa mali porovnávať s dostupnými etalónmi, neustále monitorovať, auditovať, vyhodnocovať a robiť nápravné opatrenia. Podľa odborníkov na „upratanie“ a nastavenie efektívnych stratégií v tejto oblasti môže byť vhodným obdobím práve aktuálna fáza recesie.

Zvýšeniu úrovne kybernetickej bezpečnosti podnikov by mohlo pomôcť vytvorenie platformy pre inteligentný priemysel. V rámci nej by vznikla skupina zložená z expertov výrobných firiem, dodávateľov technológií a bezpečnostných expertov. „Skupina by vypracovala zrozumiteľné odporúčania pre stredné a malé výrobné firmy v oblasti IT a výrobnej bezpečnosti,“ odkrýva plány Peter Prónay a dodáva: „Platforma by analyzovala požiadavky relevantných noriem a legislatívy na oblasť bezpečnosti dát.“ Odporučila by napríklad zavedenie bezpečnostnej horúcej linky ako prístupu k expertnej podpore pri výskyte bezpečnostných incidentov vo firmách, školenia či workshopy. „Súčasne by formulovala relevantné odborné profily absolventov vysokých a stredných odborných škôl, napríklad na pozíciu technik IT bezpečnosti v priemysle a ponúkla by ho školám,“ dodáva Martin Morháč, prezident Združenia inteligentného priemyslu – Industry4UM.

www.industry4um.sk